服务器安全卫士专注于服务端主机的安全防护,通过对主机信息和行为进行持续监控和分析,快速精准地发现安全威胁和入侵事件,并提供灵活高效的问题解决能力,将自适应安全理念真正落地,为用户提供下一代安全检测和响应能力。
服务器安全卫士采用模块化的组织形式,通过资产清点、风险发现、入侵检测、合规基线、病毒查杀五大功能的智能集成和协同联动,实现安全的统一策略管理和快速的入侵响应能力。
服务器安全卫士产品是一个完整的服务器安全防护系统,帮助客户建立防御-检测-响应-预测全面安全体系。
服务器安全卫士产品能够解决防御的问题,缩小系统攻击面,提升安全等级。也能够解决如何发现黑客的问题,包括:实时黑客行为特征锚点监控,检测黑客常见入侵手段;与业务正常行为结合分析,发现系统内部异常潜伏攻击。
防御层面不同,服务器安全卫士能从主机层面防御风险和威胁,提升系统安全指数。
不会。
- Agent是纯应用层的,不会给系统装任何的驱动,不会影响系统的稳定性。
- Agent对系统是只读的,不会改写任何数据。
- Agent的带宽和资源占用很小。
- Agent已经通过各种业务场景长时间运行测试。
支持,登录云平台,进入控制中心-“服务器安全卫士”界面,点击需要升级订单对应的“升级”按钮。
- 当该订单规格为基础版时,点击“升级”,弹出开通服务界面,规格默认“企业版”,可切换规格为“旗舰版”。
- 当该订单规格为企业版时,点击“升级”,弹出开通服务界面,规格只能选择“旗舰版”。
- 当该订单规格为旗舰版时,旗舰版为最高版本,不可再升级。
- 选择升级规格,提交订单。
Agent用于执行检测任务,全量扫描主机/容器;实时监测主机的安全状态,并将收集的主机信息上报给云端防护中心。
Agent分为Linux版本和Windows版本,您需要根据主机的版本,选择对应版本进行安装。主机上安装Agent后,即可获得服务器安全卫士提供的主机防护功能。
Agent对所在主机资源消耗严格控制:
-
满业务加载时
- CPU平均使用率不超过5%
- 内存占用不超过500M
- 硬盘存储空间占用,最高不超过200M
-
日常闲时
- CPU使用率在1%以下
- 内存40M以下
购买成功后,进入控制中心-“服务器安全卫士”界面,点击“控制台”,进入控制台后,在通用功能-系统设置-Agent安装界面,根据页面提示安装Agent即可。
在用户的IT运维环境中会在一部分主机上部署Agent,用户就需要能够知道还有哪些主机没有部署 Agent(一方面是用户很多时候都不知道在自己的网络环境中有多少主机,另一方面用户也会有一些主机新上线)。
主要有以下三种发现方法:
- ARP缓存发现:Address Resolution Protecol(ARP)缓存是用来存放最近Internet地址到硬件地址之间的映射记录。通过在安装了Agent的主机上查找ARP缓存表内存储IP信息来获取和这台主机连接过的主机。
- Ping发现:Ping发现是通过发送ping包的方式来发现新主机,支持系统:Linux,Windows(TBD),方法特殊设置:设置扫描的IP段。
- Nmap发现:具体操作请参考:通用功能-主机发现。
产品支持Windows,Linux所有主流的操作系统与版本。包括:Redhat、CentOS、Ubuntu、Oracle Linux、SUSE、Debian、OpenSUSE、Windows Server、Windows桌面系统等。
产品资产清点的技术优势主要体现在两个方面。
- 数据的获取速度快,定期清点资产数据放入快速缓存,查询数据或使用数据从快速缓存中获取。
- 对于变化较为频繁的数据(例如进程,端口),在定时更新的基础上,用户可以按需主动更新,避免因为本地数据库过于陈旧,检测不准确,也避免传统方案不断监控变化(频繁变化的数据在使用时,实际只需要获取最新的状态),导致的无意义性能消耗。
Agent不会去调用系统命令,而是执行Server端下发的lua脚本。
因为服务器安全卫士只是部署在天翼云,不分资源池,所以任何只要能连通服务器安全卫士的服务端的域名和端口的主机和虚拟机都可以使用服务器安全卫士。
您需要购买企业版或旗舰版才能满足等保二级及以上的认证,基础版的功能无法满足整改要求。
因为不同安全软件在保护计算机系统和数据方面采用不同的方法和技术。且安全软件的权限都会比较高,在某些情况下可能会与其他安全软件如火绒、360等产生冲突。如果使用多种安全软件,确保它们互不干扰,例如在一个软件完成扫描后再使用另一个软件进行监测。
因为服务器安全卫士部署只是在主机上安装一个Agent程序用来收集数据上传到服务端,不续费只是会让Agent失效,不会对主机和业务有影响,只是服务器安全卫士的防护会失效。
退订重购服务器安全卫士后,因为控制台ID已改变,所以需要重新安装Agent,服务器安全卫士的配置都是默认配置好的,所以不需要再对主机防护信息进行配置。
服务器安全卫士暴力破解基本原理如下:
1、获取登录数据
- Linux:通过查看系统日志,获取登录成功、失败、登出等行为。 登录日志(/var/log/secure)
- Windows:查看安全日志中的登录事件,4624(成功)、4625(失败),没有登出
2、判断是暴力破解的条件
3、封停原理
暴力破解自动封停存在开关,默认关闭,且仅对外网IP进行自动封停功能。
4、暴力破解封停功能的实现
- Linux通过TCP_Wrappers实现封停功能,主要通过/etc/hosts.allow和/etc/hosts.deny完成的。
- Windows通过Windows Filtering Platform(和windows防火墙一套的底层API),这套API用于支持对网络相关的处理能力。
5、封停状态变化
6、封停失败排查
封禁需要满足三个条件:
- openssh版本是否在7.8版本以下,7.8及以上不支持,6.6版本开始不再支持tcpwrappers,因此若直接回退版本需退到6.6版本。
- 命令是否有输出,没有则不支持wrap。
- 是否存在/etc/hosts.deny文件。
步骤:
1.执行 ,找到sshd的主进程pid。
2.执行 ,若没有回显表示不支持。
临时解决方法是把openssh降到允许使用tcp_wapper的版本。
账号被暴力破解,服务器安全卫士会自动对攻击IP进行一小时封禁并发出短信邮件告警,如果客户确认是攻击IP,可以选择进行永久封禁,如果不是攻击IP,进行加白即可。
使用服务器安全卫士请按照如下步骤进行操作:
- 购买防护配额。
- 安装Agent。
安装Agent后,您才能开启服务器安全卫士服务。 - 设置告警通知。
第一次登录会让填写默认手机号邮箱号,告警默认开启,开启告警通知功能后,您能接收到主机安全服务发送的告警通知,及时了解主机内的安全风险。
购买服务器安全卫士后系统不会自动执行安装Agent,用户需要按照安装手册,登录控制台生成命令并将命令复制到主机上执行来安装Agent。
若您收到弱口令告警,则说明您的主机存在被入侵的风险。数据、程序都存储在系统中,若密码被破解,系统中的数据和程序将毫无安全可言,请及时修改弱口令。
- 查看漏洞检测结果。
- 按照漏洞检测结果给出的漏洞修复紧急度和解决方案逐个进行漏洞修复。
请按如下建议设置口令:
- 使用复杂度高的密码。
建议密码复杂度至少满足如下要求:- 密码长度至少8个字符。
- 包含如下至少三种组合:大写字母(AZ)、小写字母(az)、数字(0~9)、特殊字符。
- 密码不为用户名或用户名的倒序。
- 不使用有一定特征和规律容易被破解的常用弱口令。
- 不使用空密码或系统的缺省密码。
- 不要重复使用最近5次(含5次)内已使用的密码。
- 不同网站/账号使用不同的密码。
- 根据不同应用设置不同的账号密码,不建议多个应用使用同一套账户/密码。
- 定期修改密码,建议至少每90天更改一次密码。
- 账号管理人员初次发放或者初始化密码给用户时,如果知道密码内容,建议强制用户首次使用修改密码,若不能强制用户修改密码,则为密码设置过期的期限(用户必须及时修改密码,否则密码应被强制失效)。
- 建议为所有账户配置设置连续认证失败次数超过5次(不含5次),锁定账号策略和30分钟自动解除锁定策略。
- 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。
- 新建系统中的账号缺省密码在首次使用前,建议强制用户更改。
- 建议开启账户登录记录日志功能,登录日志最少保存180天,登录日志中不能保存用户的密码。
服务器安全卫士支持检测恶意程序、勒索病毒等入侵威胁。对于恶意进程和进程异常行为,服务器安全卫士支持手动隔离查杀。
病毒查杀过程:
- Agent监控进程启动,进程信息中包含进程文件路径、大小、文件MD5值;上报服务端
- 服务端根据MD5值查找文件检测记录,如未被检测过且未被其它主机上传过,向Agent下发文件上传任务;上传大小限制30M,上传限速500kb/s,可配置。
- 病毒处理方式:阻断进程、隔离文件、删除文件
在风险发现模块中,定义安全评分来量化系统的健康程度,安全评分总分为100分,分数越高,表示系统越健康。
-
评分范围
安全补丁、漏洞检测、弱密码、应用风险、系统风险、账号风险。 -
评分定义
根据安全评分的值,我们将系统的健康程度量化为A-E 5个级别。评级越低,则认为系统中存在的问题越严重。- 安全评级为A,安全评分为90-100
- 安全评级为B, 安全评分为80-89
- 安全评级为C, 安全评分为70-79
- 安全评级为D, 安全评分为60-69
- 安全评级为E,安全评分为60分以下
漏洞的检测方式为版本比对和POC验证两种方式。
- 版本比对:通过获取应用的包安装版本和进程版本,将其与应用的漏洞版本进行比对。
- POC验证:即对漏洞逐个进行分析,根据漏洞原理编写对应的漏洞验证脚本,逐个漏洞进行检测。
对于内网的IP地址如果出现暴力破解的行为之后,系统不会封停,但是会在产品界面提示,需要手动封停。客户可以根据实际情况,在产品界面手动配置是否封停。
如果是外网IP地址,达到规则阈值后会自动进行封停,封停时间为1小时,达到时间后自动解封。另外如果是手动封停的话需要手动解封,不会自动解封。
- Agent采用纯C语言编写,保证了资源消耗控制的基础。
- Agent完全绿色化,不需要对操作系统的内核、驱动等关键模块进行操作。
- 在运行过程中,Agent采用脚本化的方式完成相关的数据采集、数据上报互动等任务,无需加载DLL或SO等动态库。
Agent启动之后,主动连接服务器,然后监听来自服务端的命令请求。在收到服务端下发的命令之后,通过Agent内部的lua脚本进行不同服务的启动,最多启动4个线程并发执行lua脚本,以开启不同的功能。
服务端给Agent下发的一系列任务都可以通过crontab的形式在产品后台进行配置,目前默认轮询任务触发时间为凌晨6点左右,每间隔24小时执行一次。
有些任务可以作为例行化,有些可以作为触发式,都是通过服务器端将任务推送给Agent。
服务器安全卫士Agent是轻量级的插件,无驱,且工作在操作系统应用层,安装时包括安装后无需改变系统及应用原生态的环境,无需重启应用进程和操作系统。
安全补丁是处理问题,而漏洞检测是发现问题。
安全补丁是服务器上操作系统未打补丁的客观体现,而漏洞检测是一些存在可以很容易被利用的风险缺陷;通过补丁管理,一个补丁可以修复对应一个到多个漏洞,或者修复某个漏洞需要打多个补丁。